Пиратские репаки разносят HijackLoader, обходя uBlock и защиту Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Пиратские репаки разносят HijackLoader, обходя uBlock и защиту Windows

Екатерина Быстрова 19 Августа 2025 - 09:25
...
Пиратские репаки разносят HijackLoader, обходя uBlock и защиту Windows

Киберисследователи зафиксировали новую кампанию с использованием HijackLoader — модульного загрузчика, который распространяется через сайты с пиратскими играми. На форумах такие ресурсы вроде Dodi Repacks часто называют «безопасными», особенно если использовать uBlock Origin, но на деле они становятся источником заражений, а блокировщики рекламы и SmartScreen от Microsoft тут не спасают.

Схема, по данным Trellix, выглядит так: пользователь кликает по ссылке на пиратскую игру, попадает на промежуточные домены вроде zovo[.]ink или downf[.]lol и скачивает архив с MEGA.

Внутри — цепочка из ZIP и 7z, где в итоге прячется вредоносный DLL, маскирующийся под легитимный компонент. Размер таких файлов специально делают большим, чтобы песочницы не могли загрузить их на проверку.

 

Дальше идёт многоуровневая техника обхода защиты: HijackLoader подменяет системные DLL, шифрует конфиги, проверяет, не запущен ли код в виртуалке или отладчике, и запускается только на «живых» машинах. Архитектура у него модульная — до 40 компонентов. Среди них, например, модуль для скрытой работы с API, обхода EDR и подмены системных вызовов.

Для закрепления на системе зловред создаёт ярлыки в автозагрузке, планировщики задач или BITS-трансферы, а иногда поднимает права через известные трюки с UAC. Дальше — внедрение в легитимные процессы вроде choice.exe или даже подписанные бинарники от Qihoo 360. При этом активно используются техники hollowing, отключение WOW64-редиректа, антиотладочные проверки по таймерам и «чистка» системных библиотек от хуков.

 

Цель у всего этого — развернуть полезную нагрузку, чаще всего воришки вроде LummaC2. В финале зловред расшифровывает полезный код и запускает его в процессе жертвы.

Важно, что кампания не ограничивается только игровыми торрентами. Исследователи нашли такие же вредоносные архивы даже по ссылкам из TIDAL-плейлистов и сторонних файловых хостингов. Это говорит о том, что злоумышленники активно эксплуатируют поисковые запросы вроде «crack» и «free download», заманивая пользователей на подменённые ресурсы.

HijackLoader продолжает развиваться: новые версии модулей усложняют анализ и улучшают обход защит. Ранее его уже связывали с семействами Remcos, Vidar и Redline Stealer.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперимент по корпусированию процессоров Baikal M завершён из-за дефицита
Яков Шпунт 10 Ноября 2025 - 11:45
Соответствие законодательству РФ КорпорацииГосударство
Эксперимент по корпусированию процессоров Baikal M завершён из-за дефицита

Трёхлетний эксперимент по корпусированию процессоров Baikal M на предприятии GS Nanotech в Калининградской области был признан успешным, однако прекращён из-за дефицита компонентов, прежде всего процессорных кристаллов. Несмотря на достигнутые позитивные результаты, продолжить проект не удалось по причине нехватки ключевых элементов.

Об итогах эксперимента рассказал «Коммерсанту» генеральный директор компании «Байкал Электроникс» Андрей Евдокимов.

«Кристаллов сейчас нет или их недостаточно, чтобы собрать чипы и передать их партнёрам. Поэтому мы не стали развивать эксперимент дальше — просто не было такой возможности. В целом я оцениваю результаты позитивно и считаю, что это был шаг вперёд», — прокомментировал Андрей Евдокимов.

По словам генерального директора GS Nanotech Сергея Пластинина, на завершающем этапе удалось добиться выхода годной продукции на уровне 74–85%. Он отметил, что такой показатель можно считать высоким с учётом сложности изделий и небольших объёмов эксперимента — всего несколько десятков чипов. Для сравнения, чтобы достичь выхода в 98%, необходимо выпускать тысячи изделий.

Глава Ассоциации российских производителей электроники Иван Покровский в комментарии «Коммерсанту» отметил, что для полного раскрытия потенциала отечественных предприятий по корпусированию микросхем необходимо возобновить процесс внедрения российской электроники в гражданский оборот.

По его словам, до 2022 года в этом направлении предпринимались определённые шаги, но их реализация была приостановлена из-за санкций и изменений в регулировании.

При этом, подчеркнул Покровский, реализация крупных проектов исключительно силами российских предприятий невозможна. Ситуацию усугубляет раздробленность рынка услуг по корпусированию: каждый участник стремится развивать собственные мощности, что приводит к фрагментации отрасли и снижению её экономической эффективности.

Лидер практики технологического консультирования и партнёр аудиторской компании ДРТ Тимофей Хорошев добавил, что рыночные механизмы в этом сегменте вряд ли смогут работать эффективно, поскольку речь идёт о специфичных и нишевых продуктах, востребованных ограниченным кругом заказчиков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Битрикс24 добавил запрет на скриншоты и копирование текста в приложении
Новость
Битрикс24 добавил запрет на скриншоты и копирование текста в...
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
Новость
LNK Stomping: ярлыки .lnk обходят MoTW и защиту Windows
В Москве осудили группу, похищавшую деньги умерших через сим-карты
Новость
В Москве осудили группу, похищавшую деньги умерших через сим...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.